Les sextoys connectés en Bluetooth Low Energy peuvent être facilement détournés

Sécurité

Par Elodie le

Facilement détectables, les sextoys connectés en Bluetooth Low Energy (BLE) peuvent être piratés tout aussi facilement. Pour des conséquences plutôt fâcheuses pointe un chercheur en sécurité.

Décidément les sextoys connectés ont la vie dure. Après la class action intentée contre la société Standard Innovation pour avoir collecté à leur insu les données (très) personnelles de ses utilisateurs et le vibromasseur muni d’une caméra qui peut être hacké en un tour de main grâce au WiFi, c’est une nouvelle controverse qui vient frapper le marché des sextoys connectés.

Alex Lomas, chercheur en sécurité chez Pen Test Partners, s’est rendu compte que tous les sextoy Bluetooth Low Energy sont facilement détectables et que n’importe qui peut s’y connecter et jouer un mauvais (ou un bon) tour à son propriétaire. Le sextoy se commandant à distance depuis une application mobile iOS ou Android.

Prise de contrôle à distance

Par exemple, le plug anal Hush de Lovense, présenté comme le « plug anal vibrant le plus puissant », peut être détecté dès lors qu’il est allumé et pas encore connecté au smartphone. Son mode « découverte » (par défaut) rend possible sa détection par n’importe qui, et ne requiert aucune authentification pour s’y connecter. Encore faut-il reconnaître son identifiant me direz-vous ? Rien de plus simple, c’est toujours le même : « LVS-Z001 ». La première personne venue peut donc actionner le vibreur et surprendre celui ou celle qui le porte.

Il en a fait lui-même l’expérience à Berlin, dans la rue. En regardant les périphériques à proximité, il a eu la surprise de tomber sur le fameux « LVS-Z001 ».

Selon le chercheur, cette faille est présente sur tous les sextoys qu’il a testé, notamment sur ceux des marques Lovense Max, Lovense Nora, Kiiroo Fleshlight et Lelo, haut de gamme, mais pas nécessairement mieux sécurisées.

Une sécurité jugée secondaire ?

En effet, ils ne sont même pas pourvus d’un semblant de code PIN, ou d’un simple mot de passe. Si la connexion n’est pas ouverte, elle nécessite uniquement un code pin statique (0000, 1234). Pour le chercheur tout l’enjeu réside dans le manque d’interface utilisateur pour entrer un Pin classique d’appariement au Bluetooth : « Et d’ailleurs, comment pourrait-on mettre une interface graphique sur un plug anal ? », fait mine de s’interroger le chercheur. Mais Alex Lomas ne s’avoue pas vaincu pour autant : il suggère notamment l’insertion d’un bouton sur l’appareil pour le rendre détectable ou l’attribution d’un identifiant BLE générique pour le rendre moins facilement détectable. Encore faut-il que les fabricants acceptent de mettre la main au portefeuille.

D’ici là, veillez à connecter votre joujou à votre smartphone. À moins que…